天涯社区4000万用户资料泄露

煎饼 · 发表于 2011-12-26 08:59:50

漏洞详情简要描述：

天涯社区4000万用户资料泄露账号密码邮箱明文保存，经验证为有效数据，从一些途径得知目前已经扩散，请广大用户和企业做好应急响应处理

详细说明：

天涯社区4000万用户资料泄露账号密码邮箱明文保存
1 F4 T1 O; G0 n5 f- ^( U( X& i
; O1 G9 k9 K0 d6 \7 Z; ]下载地址：（已帮原作者做隐藏处理）

继前几日被爆出明文存储的用户数据库被窃取之后，今天网上又爆出天涯社区4000万用户资料泄露，账号密码邮箱明文保存，该资料已经网上传播，初步验证为有效数据。

　　天涯社区自称是“全球最具影响力的中文论坛”，创办于1999年，目前，天涯社区注册用户超过6000万，在国内社区型网站颇具人气，而此次泄漏的用户数量达到总数的60%以上。
　　据天涯网新浪微博上的介绍，由于历史原因，天涯社区早期使用过明文密码，2010年之后改成了加密密码。此次遭到黑客泄漏的用户便是2009年保存的备份数据。
　　该份高达386M的泄漏文件“天涯数据.kz”经过下载验证，里面保存了天涯的用户名、密码、邮箱三个数据，根据泄漏的天涯用户名和密码测试，大部分都可以可直接登录到天涯社区。从密码的构成看，泄密的密码很多并非是弱密码，而是8位以上的强密码，因此可以认为天涯的确是以明文方式保存的用户密码。
　　明文存储密码这种蠢事原来并不是CSDN一家网站的个例，大名鼎鼎的天涯社区竟然也这么干，并且在2010年才修正，以前的明文密码也不清除，如此对待用户的个人隐私，天涯实在是令人大跌眼镜。现在用户真的需要扪心自问，中国的那些所谓的大网站，你究竟还信任哪一家？

网传的一份天涯用户密码文件，经验证有效
　　因此，曾经注册过天涯社区的用户，如果你在天涯的用户和密码也在其他网站使用，那么请立刻修改你的密码为一个新密码。
　　目前，天涯社区已经在新浪微博上就4000万用户密码泄露一事发布声明和对用户的致歉信，称已向公安机关报案，并呼吁用户修改密码。以下是声明：

; Q3 ~ n) g+ l& L2 `3 n6 P- X; H8 w　　关于天涯社区部分用户账号被泄露的声明：
0 H( t! E3 V. t, R　　由于历史原因，天涯社区早期使用过明文密码，此次被盗的数据为2009年之前的备份数据。2010年之后，我们升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了天涯社区用户账号的各种安全性问题。

) i6 _ I" _- _$ a* F& \6 y　　对用户的致歉信
2 P- x' {3 p9 u7 t　　尊敬的天涯社区用户：我们非常抱歉地通知您，近日由于遭受黑客攻击，有多家网站的部分用户数据库外泄，天涯也是受害网站之一。为确保您的隐私及帐户安全，在此，我们恳请您尽快修改天涯社区相关帐户的密码。我们已经在个人首页发出提示修改密码的公告。
0 R: k9 W% ?: Y9 C　　如果您在其他网站也使用同一密码，请务必同时修改更新。目前天涯社区已向公安机关报案，公安机关也正在调查相关线索。再次向您致以深深的歉意！